Vor dem Hintergrund von Digitalisierung und Industrie 4.0 rückt im Unternehmens- und Industrieumfeld die IoT- und IIoT-Sicherheit (Industrial IoT) verstärkt in den Fokus. Ein Kernbaustein der IoT/IIoT-Sicherheit ist es, zunächst die Identität beteiligter Maschinen, Instanzen und Systeme sicherzustellen – darauf baut die gesamte weitere Sicherheitskette auf. LANline sprach mit Gerhard Zehethofer, Vice President IoT und Manufacturing bei ForgeRock, über den Stand der Dinge bei der Absicherung von Maschinenidentitäten.

LANline: Herr Zehethofer, warum misst ForgeRock den

„Ohne verifizierte Identitäten lässt sich die Digitalisierung von Geschäftsprozessen im Industrieumfeld nicht verlässlich umsetzen“, so ForgeRock-VP Gerhard Zehethofer. Bild: ForgeRock

„Ohne verifizierte Identitäten lässt sich die Digitalisierung von Geschäftsprozessen im Industrieumfeld nicht verlässlich umsetzen“, so ForgeRock-VP Gerhard Zehethofer. Bild: ForgeRock

Maschinenidentitäten eine so große Bedeutung für IoT und IIoT bei – und warum sollte man für deren Verwaltung nicht einfach das bestehende, herkömmliche Identity- und Access-Management (IAM) verwenden?

Zehethofer: Ohne verifizierte Identitäten lässt sich die Digitalisierung von Geschäftsprozessen im Industrieumfeld nicht verlässlich umsetzen. Für die sichere Authentizifierung von Maschinenidentitäten im Umfeld von IoT und Industrial IoT benötigt man ein hochskalierendes IAM-System, das modular aufgebaut ist und sich on-premise wie auch off-premise betreiben lässt.

LANline: Wie verifiziert man die Identität von IoT- oder IIoT-Gerätschaft am besten?

Zehethofer: Eindeutig feststellen lässt sich Identität eines IoT-Geräts über einen Security-Chip, ein Zertifikat, ein Verfahren wie ARMs Trust Zone oder Intels Secure Device Onboard, zudem auch dateibasiert. Letzteres ist aber nicht so sicher wie die anderen Verfahren.

LANline: Die Technik für IoT/IIoT-taugliches Identity-Management ist ja offenbar vorhanden – wo liegen die größten Hürden, dies im Industrieumfeld unternehmensweit umzusetzen?

Zehethofer: Ein großes Problem bei der OT-Sicherheit (OT: Anlagenbetriebstechnik) liegt in den Zuständigkeiten: OT ist oft als Insellösung konzipiert, damit fehlt der umfassende Blick über die gesamte IT- und OT-Umgebung hinweg. Dabei wäre dringend ein durchgängiges IAM-System erforderlich.

LANline: Was gibt üblicherweise den Anlass für IAM-Projekte (Identity- und Access-Management) im Unternehmens- und im IIoT-Umfeld?

Zehethofer: Den Einstieg in IAM-Projekte liefern heute häufig die DSGVO, die Einführung von Multi-Faktor- oder passwortloser Authentifizierung für Kunden, Mitarbeiter oder Partner – oder aber der Umstand, dass eine Bestands-IAM-Lösung an ihre Grenzen stößt. Treiber von IAM-Projekten in der Industrie wiederum sind Szenarien wie zum Beispiel das Flotten-Management von Baumaschinen, das einen sicheren Fernzugriff etwa zu Wartungszwecken erfordert.

LANline: Wenn die Maschinenidentitäten im Industrieumfeld einmal verlässlich verifiziert sind, wie lassen sie sich dann ebenso verlässlich schützen?

Zehethofer: Die Mittel zum Schutz von Industrieumgebungen reichen vom Whitelisting zugelassener Maschinenidentitäten über UEBA (User and Entity Behavior Analytics, d.Red.) bis hin zu Authentication Trees für die granulare Staffelung von Zugriffsrechten. Gateways sorgen dabei für die Aufteilung der Datenströme. Über Message Broker, die sich per Plug-in in das IAM-System einbinden lassen, kann man dann auch den Zugriff auf die Datenströme der Geräte pro Identität festlegen.

LANline: Welche IAM-Architektur ist erforderlich, wenn man über das Einzelunternehmen hinausgeht, beispielsweise in Richtung Smart City?

Zehethofer: Um IoT-Szenarien – etwa ein LKW, der autonom eine Mautgebühr bezahlt – umzusetzen, benötigt man Geräte mit verifizierter und vertrauenswürdiger digitaler Identität, die nahtlos in das IAM-System integriert sind – Geräte als „First-Class Citizens“ (Bürger erster Klasse, d.Red.). Voraussetzung für ein sicheres Identity-Management im IT/OT-Umfeld ist, dass jedes Gerät genauso eine First-Class-Identität erhält wie ein Nutzer. Hinzu kommen kritische Aspekte wie Netzwerk- und Datensicherheit, Datenschutz, Skalierbarkeit und die Offenheit der Plattform durch Unterstützung von Standards und offenen APIs. Nur so kann man Einsatzfälle wie etwa die Verkehrssteuerung in der Smart City verwirklichen. Denn hier benötigt man vertrauenswürdige Daten aus vertrauenswürdigen Datenquellen über Unternehmensgrenzen hinweg.

LANline: Security wird heute oft als etwas verstanden, das man „nachrüsten“ muss. Wie hilft ForgeRock Equipment-Herstellern, das nützliche Konzept „Security by Design“ – zu verwirklichen?

Zehethofer: Unseren IoT Edge Controller haben wir diesen Sommer als Open Source herausgegeben. Es handelt sich dabei um hardwarenahe Software für Hersteller, damit diese die Unterstützung sicherer Identitäten im Sinne von „Security by Design“ gleich ab Werk in ihre Produkte integrieren können.

LANline: Herr Zehethofer, vielen Dank für das Gespräch.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.